“¿DORA LA EXPLORADORA?”
De acuerdo con la última encuesta global de CEO de PwC, en su versión No.27, denominada “Prosperando en una era de reinvención continua” (Thriving in an age of continuous reinvention), se indica que muchas empresas están tomando medidas para reinventarse. Por ello, la pregunta que surge de inmediato es si es suficiente para cumplir con los objetivos planteados y actualizados para el corto, mediano y largo plazo.
De igual manera, el 45% de los CEOs a nivel global cree que su empresa no será viable dentro de diez años si continúa por el camino actual. Casi invariablemente, al anticipar la magnitud de los cambios que se avecinan, esos líderes concluyeron que necesitaban ser más transformadores en su enfoque para que su organización prospere en las próximas décadas. Indudablemente, la automatización / digitalización es inherente a los enfoques de transformación que hoy las compañías están considerando. De ese modo, la mayoría de los funcionarios entrevistados indicaron que los riesgos cibernéticos (21%) son parte de sus mayores preocupaciones, junto con la normativa que pueda estar asociada a ellos como aquellas que ya se han previsto tanto en la UE (Unión Europea) como en los Estados Unidos de Norteamérica.
En ese sentido, aplicando el marco de referencia de gestión integral de riesgos (ERM por sus siglas en inglés); se entiende que, siguiendo sus objetivos empresariales, toda organización tiene asociados los riesgos estratégicos, operacionales, de reporte y cumplimiento respectivos. De ellos, los cibernéticos forman parte de los riesgos operativos y dado el aumento de los ciberataques y la naturaleza interconectada de los sistemas, la resiliencia operativa es un desafío para todos los sectores y no solamente para las empresas de servicios financieros. Por lo mencionado, el perfil de la resiliencia operativa digital se ha elevado y seguirá optimizándose significativamente.
La “Ley de Resiliencia Operativa Digital”, comúnmente conocida como DORA (por sus siglas en inglés), es una regulación de la UE que tiene como objetivo fortalecer el proceso de adaptación a las adversidades significativas, operativas y digitales del sector financiero, en un contexto de profunda transformación del negocio digital y una mayor exposición a los riesgos cibernéticos y de tecnología de información (TI). El reglamento entró en vigor el 16 de enero de 2023 y será aplicable a partir del 17 de enero de 2025 en todos los estados miembros de la Unión Europea (UE).
DORA introduce requisitos muy específicos y prescriptivos que son homogéneos en todos los estados miembros de la UE. Las organizaciones deben ser capaces de soportar, responder y recuperarse del impacto de los incidentes de las Tecnologías de la Información y Comunicaciones (TIC) y continuar así ofreciendo funciones críticas e importantes, además de minimizar la interrupción para los clientes y el sistema financiero en su conjunto. Esto solo se puede lograr estableciendo medidas y controles sólidos sobre sistemas y herramientas propias y de terceros mediante el establecimiento de los planes de continuidad operativa adecuados, probando su eficacia de forma continua y mitigando los riesgos asociados de acuerdo con una debida evaluación costo-beneficio.
Al respecto, los siguientes cinco pilares básicos de la regulación desempeñan un papel importante:
1. Gestión del riesgo de las TIC
2. Gestión de los incidentes de las TIC
3. Pruebas de resiliencia operativa digital
4. Gestión de terceros
5. Intercambio de información
Según Karine Pariente, Socia de PwC Francia, “los bancos y las compañías de seguros necesitan acceso a un volumen cada vez mayor de datos internos y externos. Se han vuelto cada vez más dependientes de terceros de la tecnología de la información y las comunicaciones. Por lo tanto, los reguladores europeos quieren tomar medidas para establecer que el riesgo generado por estos desarrollos se gestiona de manera efectiva”. No cabe duda de que esta afirmación puede extenderse a todos los sectores económicos en general.
El 24 de noviembre de 2022, PwC Francia y Magreb organizaron la conferencia “Regulación DORA: Descifrado, problemas e intercambio de experiencias” en la que, entre otros aspectos, se identificaron los siguientes 10 desafíos clave para lograr una implementación exitosa de DORA, los cuales constituyen puntos de referencia que tendrán que adaptarse a cada entorno empresarial para hacer de esta norma una oportunidad de mejora y no ser entendida solo como una restricción regulatoria adicional:
1. Entender el enfoque regulatorio
2. Empezar tan pronto sea posible
3. Adaptar la gobernanza y sensibilizar a la Dirección
4. Involucrar a los stakeholders correctos
5. Identificar las interrelaciones con las regulaciones actuales y futuras
6. Aprovechar la iniciativa actual con una perspectiva de resiliencia
7. Promover el intercambio de información sobre amenazas cibernéticas
8. Revisar la relación con proveedores de servicios TIC
9. Probar la capacidad de resiliencia de forma regular
10. Desarrollar una verdadera cultura de resiliencia operacional
Asimismo, es pertinente resaltar que, si bien es cierto que DORA es una ley aplicable a instituciones financieras europeas, sus principios son válidos y extensibles a todo tipo de organización sin importar el sector al que pertenecen.
Finalmente, es importante contar con una adecuada gobernanza corporativa que permita la apropiada identificación de los riesgos empresariales críticos junto con los planes de acción respectivos, de tal manera que se pueda cubrir las diferentes expectativas que pudieran tener los grupos de interés de la corporación; como por ejemplo los órganos reguladores que, ante algún incumplimiento, podrían ocasionar hasta la suspensión de actividades / disolución de la organización.
Como vemos, DORA se puede convertir en una herramienta muy potente para implementar un fuerte sistema de gobernanza para todos los sectores económicos que, al igual que la serie educativa DORA La Exploradora, ayude a identificar nuestros caminos y solucionar las dificultades que encontremos hacia la inexorable transformación digital, así como permitir solucionar holísticamente problemas relacionados con la gestión integral de riesgos empresariales y el gobierno corporativo.